摘要

为什么此案例属于风险与问责档案

Blackbaud 属于风险与问责档案,因为可见的客户很少是最终暴露的个人。大学、医院基金会、食品银行、儿童福利慈善机构、宗教组织、学校、博物馆、研究基金会或公共服务非营利组织可能购买了 Blackbaud 软件。这些系统中的记录属于捐赠者、校友、患者、活动志愿者、学生、活动参与者、受益人、受托人、员工和支持者。这些人可能从未见过 Blackbaud 的登录界面。他们由一家他们因使命而信任的机构代表给供应商,而不是普通的消费者账户。

主要的公开时间线异常具有教育意义。SEC 命令(https://www.sec.gov/files/litigation/admin/2023/33-11165.pdf)称 Blackbaud 于 2020 年 5 月 14 日检测到未经授权的访问,且公司的调查显示访问可能最早始于 2020 年 2 月。命令称该事件导致超过 13,000 名客户的超过一百万份文件被未经授权访问和外泄。Blackbaud 于 2020 年 7 月 16 日宣布该事件并通知受影响的客户。SEC 命令随后称,员工在数天内得知,关于捐赠者银行账户信息和社会安全号码的早期陈述对某些客户是错误的,但公司 2020 年 8 月 4 日的 10-Q 表格未披露该更广泛范围,并将风险描述为假设性。

Blackbaud 后来的 8-K 表格(https://investor.blackbaud.com/static-files/58a4ae64-afc5-45f7-81df-69dfc93888fc)改变了公开风险图景。它称进一步的取证调查发现,对于某些已通知客户,攻击者可能访问了用于银行账户信息、社会安全号码、用户名和/或密码的未加密字段。这并不意味着每个客户都有这些字段暴露。它意味着原始通知架构未能传达完整的不确定性,且某些客户需要补充支持。

因此,问责问题是实际的。谁对租户数据保管、外泄证据、赎金支付沟通、客户通知时机、监管合作以及证明非营利组织相关方未成为云集中看不见的成本拥有实际控制权?答案从 Blackbaud 开始,因为 Blackbaud 控制了托管环境、调查、首次客户通知、数据保留姿态、特定服务文件以及下游机构通知其社区所需的证据流。

这并不抹杀客户责任。客户决定收集什么数据、使用什么字段、上传什么附件、保留旧记录多长时间以及如何与其相关方沟通。但客户责任位于供应商证据门之后。如果非营利组织无法查看哪些 Blackbaud 文件被复制,无法验证字段是否加密,无法检查攻击者通信,也无法独立确认数据删除,那么供应商的证据纪律成为其他人问责的控制条件。

时间线是披露控制案例,而不仅仅是入侵案例

时间线很重要,因为它表明问责并未在攻击者被驱逐后结束。它转向披露控制。SEC 的新闻稿(https://www.sec.gov/intelligence team/press-releases/2023-48)称 Blackbaud 同意支付 300 万美元民事罚款以和解误导性披露的指控,既不承认也不否认 SEC 的调查结果。对于本档案,重要的不是金额。而是 SEC 描述的控制失败:技术和客户关系人员了解到关于敏感数据的信息,但这些信息在 2020 年 8 月提交文件之前未到达负责公开披露的高级管理层。

这是一种不同于防火墙漏洞或端点入侵的失败模式。这是证据路由缺口。在云事件中,事实从端点调查人员流向产品团队、客户支持脚本、律师、高管、监管机构、投资者和客户。如果这些事实移动得不够快或不够精确,公开记录可能会在公司知道首次通知不完整后仍向受影响的人传达错误信息。对于以使命为导向的客户,这种延迟不是投资者关系的抽象概念。它决定了捐赠者何时可以冻结银行账户,患者何时可以监控身份滥用,大学何时可以通知校友,以及慈善机构何时可以回答焦虑的支持者。

SEC 命令描述了一个特别尖锐的序列。Blackbaud 7 月 16 日的通知称攻击者未访问捐赠者银行账户信息或社会安全号码。客户问题随后引发了对敏感数据已存储在未加密附件或字段中的担忧。根据 SEC 命令,到 7 月 21 日,人员已制定客户服务脚本,承认某些可能用于这些类别的附件和字段未加密。到 7 月底,人员已确认对某些受影响客户的未加密捐赠者银行账户信息和社会安全号码的访问和外泄。8 月 4 日的 10-Q 表格未包含该实质性更正。

FTC 后来通过消费者保护和数据保留来框定同一事件。其新闻稿(https://www.ftc.gov/news-events/news/press-releases/2024/02/ftc-order-will-require-blackbaud-delete-unnecessary-data-boost-safeguards-settle-charges-its-lax)称 Blackbaud 未能实施适当的保障措施,让漏洞在数月内未被发现,保留数据超出必要时间,在攻击者威胁曝光被盗数据后支付了 24 比特币,且从未验证攻击者是否删除了数据。这些是 FTC 的指控和命令条款,而非 Blackbaud 公开的私人取证日志。它们仍然核心,因为它们确定了公开问责标准:安全、保留、检测、通知和删除证明是一条链。

这条链就是为什么这是云服务依赖案例。客户不仅需要自己的事件响应。他们需要能够转化为合法、准确、针对客户的通知的供应商证据。如果供应商自己的审查还不足以支持该陈述,慈善机构不能负责任地告诉支持者“无需采取任何行动”。如果供应商仅分析了文件名而未分析相关内容,大学不能告诉校友银行字段或身份号码是否涉及。通知时机成为一个控制面。

慈善数据并非因机构仁慈而低风险

“慈善数据”这个短语听起来可能温和。但它不是。捐赠者数据库可能包含姓名、家庭地址、电子邮件地址、电话号码、出生日期、家庭关系、雇主信息、财富指标、遗产捐赠意向、定期捐赠历史、银行详细信息、活动出席情况、志愿者偏好、董事会隶属关系、活动笔记、宗教或政治关联、健康基金会关系以及揭示私人联系的联系历史。在大学背景下,校友记录可能包括学位、年份、学生标识符、参与模式、职业详情和慈善能力。在医疗基金会背景下,机构关系可能暗示敏感的健康接近性,即使临床记录不在被入侵的系统中。

Blackbaud 2023 年的 10-K 表格(https://www.sec.gov/Archives/edgar/data/1280058/000128005824000013/blkb-20231231.htm)描述了筹款和关系管理产品,包括 Raiser's Edge NXT、Blackbaud CRM、eTapestry、Luminate Online、TeamRaiser、JustGiving、Fundraiser Performance Management 和 Altru。产品描述很重要,因为它们显示了依赖面:筹款、捐赠表格、活动管理、数字捐赠、活动筹款、分析、参与、会员和选民的记录。这些不是孤立的客户文件。它们是机构的运营记忆,这些机构通常与人们有着长期关系。

客户通知使人类层面可见。阿拉巴马大学的通知(https://giving.ua.edu/data/)称 Blackbaud 于 2020 年 7 月 16 日通知大学,5 月发生勒索软件攻击,且部分客户的子集数据被复制。北卡罗来纳大学系统的通知(https://www.northcarolina.edu/blackbaud-information-security-incident/)将 Blackbaud 描述为高等教育领域最大的选民关系管理提供商之一,并称自托管数据环境受到影响。爱丁堡龙比亚大学的通知(https://www.napier.ac.uk/alumni/alumni-news/latest-news/blackbaud-data-security-incident)列出了类别,包括联系方式、课程和教育详情、与校友和筹款活动的互动、专业详情以及通过调查提供的兴趣。

慈善通知并不相同,因为客户数据并不相同。Child & Family Service 的通知(https://childandfamilyservice.org/securityincident/)提到了传记、联系方式、捐赠历史和关系信息。全球卫生特别工作组(https://www.taskforce.org/blackbaud-data-security-incident/)描述了一个第三方供应商事件和对捐赠者数据影响的调查。里奇沃特学院的通知(https://ridgewater.edu/alumni-friends/ridgewater-college-foundation/blackbaud-data-security-incident/)称 Blackbaud 在 2020 年 2 月 7 日至 5 月 20 日期间间歇性成为目标,并于 7 月 16 日通知学院。这些通知很有价值,因为它们显示了下游机构将一个供应商事件转化为许多本地信任关系。

问责问题在于,这些下游机构既是受害者也是信使。他们必须回答捐赠者、校友和支持者的提问,同时依赖 Blackbaud 的调查。他们还必须评估自己的数据实践是否使影响恶化:他们是否在自由文本字段中存储了敏感数据?他们是否上传了未加密的附件?他们是否保留了旧记录而无当前目的?他们是否理解 Blackbaud 如何保留前客户数据?供应商控制平台,但客户控制其中的部分数据选择。问责遵循两个层面,按顺序。

已确认的事实、合理的推论和未知项必须保持分离

已确认的公开事实足以使案例严肃。SEC 命令称超过一百万份文件涉及超过 13,000 名客户被访问和外泄。它称公司于 2020 年 5 月 14 日检测到攻击,于 7 月 16 日宣布事件并通知受影响客户,于 8 月 4 日提交 10-Q 表格,并于 9 月 29 日在 8-K 表格中披露,用于银行账户信息、社会安全号码、用户名和/或密码的未加密字段可能已被访问。FTC 新闻稿称漏洞在三个月内未被发现,涉及数百万消费者的个人数据,不必要的保留是问题的一部分,且命令要求删除不再需要的数据并实施全面的信息安全计划。

已确认的执法结果也很明确。Blackbaud 2023 年 10 月的公告(https://www.blackbaud.com/intelligence team/article/blackbaud-resolves-multi-state-attorneys-general-investigation-of-2020-security-incident)称其同意向 49 个州和哥伦比亚特区支付 4950 万美元,并实施或改进网络安全计划和工具,同时不就数据保护、隐私、安全、保密性、完整性和违规通知事项做出误导性陈述。纽约州检察长的新闻稿(https://ag.ny.gov/press-release/2023/attorney-general-james-and-multistate-coalition-secure-495-million-cloud-company)将和解描述为解决一项关于捐赠者信息泄露的多州调查。加利福尼亚州检察长的新闻稿(https://oag.ca.gov/news/press-releases/attorney-general-bonta-secures-675-million-settlement-against-blackbaud-over)宣布了一项单独的 675 万美元和解。这些是民事解决记录,而非刑事调查结果。

合理的推论更为狭窄。可以合理推断,许多客户无法从其自身系统独立确定文件内容范围,因为事件发生在 Blackbaud 环境中,且 SEC 命令描述了 Blackbaud 的文件名审查以及后来客户对未加密字段的担忧。可以合理推断,通知质量参差不齐,因为下游通知依赖于不断变化的供应商信息。可以合理推断,不必要的保留增加了暴露人群,因为 FTC 指控 Blackbaud 保留数据超出必要时间,包括属于前客户的信息。

未知项必须保持未知。公开记录未提供每个受影响客户、每个受影响个人、每个文件名、每个复制字段、每个加密字段、每个客户特定产品实例、每个私人通知、每个执法通信、每个攻击者通信、每个取证结论或每项安全改进的完整列表。它未证明每条复制记录被滥用。它未证明攻击者删除了数据。它未证明所有客户负责任地存储数据。它也未证明所有后续修复措施无效。负责任的风险与问责档案不应以无根据的指控填补这些空白。

这种分离并非法律上的细微差别。它是事件响应本身应使用的纪律。已确认的事实告诉人们采取什么行动。合理的推论告诉客户提出什么问题。未知项告诉监管机构在何处要求证据。如果这三个类别混合,违规沟通要么变成错误的安慰,要么变成恐慌。Blackbaud 案例表明了为什么从第一次通知起就必须明确这些类别。

赎金支付不等于删除证明

赎金支付记录至关重要,因为许多下游通知重复了 Blackbaud 已支付并收到复制数据已销毁保证的说法。FTC 新闻稿(https://www.ftc.gov/news-events/news/press-releases/2024/02/ftc-order-will-require-blackbaud-delete-unnecessary-data-boost-safeguards-settle-charges-its-lax)指出,Blackbaud 在攻击者威胁暴露数据后支付了 24 比特币,且根据 FTC 的说法,从未验证攻击者是否实际删除了被盗数据。客户通知,如爱丁堡龙比亚大学、Child & Family Service 和阿拉巴马大学的通知,描述了来自 Blackbaud 关于删除的保证或确认。这些通知显示了下游对供应商语言的依赖。

问责问题在于,赎金支付可以是一个危机决策,但它不是安全控制。它不证明删除。它不证明没有制作副本。它不证明没有数据被查看。它不解决保留问题。它不通知受影响人员。它不修复访问路径。它不替代加密、分段、多因素身份验证、漏洞管理、监控、最小权限、备份验证、数据最小化和披露控制。

CISA 的 StopRansomware 指南(https://www.cisa.gov/stopransomware/ransomware-guide)和 NIST 事件处理指南(https://csrc.nist.gov/pubs/sp/800/61/r2/final)提供了有用的公开词汇。它们不对 Blackbaud 做出调查结果。它们定义了为什么勒索软件事件必须通过准备、检测、遏制、根除、恢复、沟通和经验教训来处理。如果提供商支付赎金,该决策位于响应记录内。它不应成为消费者安全的证明。

对于以使命为导向的客户,删除问题尤其困难。慈善机构可能没有技术能力质疑供应商的删除声明。大学可能有法律顾问,但无法访问供应商的攻击者通信。小型基金会可能因为别无选择而使用供应商的措辞发布通知。这就是为什么监管机构很重要。FTC 要求数据删除和保留时间表的命令将删除声明转化为运营义务:公司必须删除不再需要的数据,并记录为什么保留的数据仍然是必要的。

持久的教训是,数据删除必须在事件前可控。如果公司因为存储成本低且清理复杂而保留旧客户数据,它就会创造更大的漏洞人群。如果它无法证明复制文件中包含什么,就无法发布精确的通知。如果它依赖攻击者的承诺,它已将安全证明转移给链中最不可信的一方。问责需要属于提供商而非攻击者的删除证据。

客户通知显示压力下的委托问责

下游通知是事件如何到达社区的最佳公开证据。大学、慈善机构和基金会的通知重复了 Blackbaud 对事件的描述,解释了本地数据类别,并告知受影响人员该机构正在做什么。这种重复本身并非缺陷。这是第三方事件沟通的工作方式。当上游来源不完整、过于确定或更新缓慢时,缺陷就会出现。

北卡罗来纳大学的通知(https://www.northcarolina.edu/blackbaud-information-security-incident/)将 Blackbaud 定位为高等教育领域主要的选民关系管理提供商。阿拉巴马大学的通知(https://giving.ua.edu/data/)描述了与捐赠者相关的记录以及供应商的付款和删除保证。爱丁堡龙比亚大学的通知(https://www.napier.ac.uk/alumni/alumni-news/latest-news/blackbaud-data-security-incident)描述了校友和筹款参与字段。全球卫生特别工作组(https://www.taskforce.org/blackbaud-data-security-incident/)强调了捐赠者信息和一个持续的机构调查。每个通知都必须为一个独特的社区本地化供应商事件。

这是委托问责。供应商控制证据。客户控制与相关方的关系。相关方承担风险。如果供应商的证据延迟,客户显得回避。如果客户的数据卫生差,供应商的事件影响更广。如果相关方失去信任,慈善机构的使命可能受损,即使该机构未运营受感染的基础设施。供应商风险与使命风险之间的界限消失。

公共部门连续性也是其中的一部分,因为许多非营利组织、大学和健康相关基金会不是装饰性机构。它们支持教育、医学研究、社会关怀、文化遗产、灾害响应、社区服务和弱势群体。选民记录泄露可能降低筹款信心、产生支持负担、分散员工精力,并使人们犹豫是否参与。运营损害并不总是系统中断。有时损害是信任中断:电话响起,捐赠者要求解释,校友质疑数据实践,员工花费时间重建记录和法律义务。

因此,供应商应设计用于委托问责的事件沟通。这意味着客户特定范围、明确的不确定性标签、行动指导、补充通知触发、监管协调和证据保留。它还意味着在文件内容和客户字段实践已知之前避免分类保证。在 Blackbaud 的案例中,后来的 SEC 和 FTC 记录显示了为什么早期确定性变成了负债。

执法将通知质量转化为控制义务

SEC、FTC、州检察长和加利福尼亚州的记录各自强调链的不同部分。SEC 关注投资者披露和披露控制。FTC 关注消费者保护、数据安全、保留、通知和陈述。州检察长关注跨司法管辖区的数据安全、违规通知和消费者保护责任。加利福尼亚州增加了单独的和解记录。它们共同将通知质量转化为控制义务,而非沟通偏好。

美联社的报道(https://apnews.com/article/dba8fac12af30f74691c7af4fec69a14)作为公共新闻摘要很有用,它描述了多州和解,并指出漏洞影响了超过 13,000 个非营利组织,暴露了数百万人的敏感信息,同时指出 Blackbaud 在和解中未承认不当行为。路透社的报道(https://www.reuters.com/legal/software-firm-blackbaud-pay-3-mln-misleading-disclosures-ransomware-attack-sec-2023-03-09/)同样总结了 SEC 的和解。新闻报道不替代命令,但它们展示了执法记录如何转化为公众理解。

通知质量有几个组成部分。第一,时机:客户是否足够快地了解以保护受影响人员?第二,具体性:通知是否识别了相关数据类别?第三,准确性:分类声明是否有证据支持?第四,更新义务:公司是否在新事实出现时更正通知?第五,可操作性:受影响人员是否知道该做什么?第六,问责:公司是否识别了哪些事实已确认、哪些正在调查、哪些未知?

Blackbaud 的公开记录显示其中几个组成部分存在弱点。SEC 命令称 8 月提交文件遗漏了实质性事实,即一些未加密的银行账户和社会安全号码数据已被外泄,尽管人员已了解此事。FTC 指控 Blackbaud 等待近两个月才通知客户,然后关于被盗数据范围误导消费者,包括声称客户无需采取行动的声明。州和解要求改变数据安全和违规通知实践。这是一个关于证据在组织内移动过慢的案例。

一个处理其他机构敏感记录的组织应将披露控制视为安全架构的一部分。它需要一条从取证结果到客户通知、SEC 提交文件、隐私监管机构、呼叫中心脚本、董事会监督和客户特定修复的路径。如果该路径是非正式的,第一次声明可能成为陷阱。技术团队可能知道一个事实,客户团队知道另一个,法律团队知道另一个,高级领导层知道另一个。公众接收到的是无知的平均值。

数据保留使问责问题更大

FTC 对数据保留的关注是 Blackbaud 记录中最重要的部分之一。保留通常在漏洞之前不可见。在事件前,额外的历史数据似乎有用:旧捐赠者可能回归,旧校友可能捐赠,旧活动参与者可能加入活动,旧附件可能帮助重建关系。在事件后,额外数据成为暴露清单。如果组织无法解释为什么仍持有一个字段,它就存储了无目的的风险。

FTC 新闻稿称 Blackbaud 持有数据超出必要时间,包括属于前客户的信息。这个细节很重要,因为它改变了风险分配的公平性。一个人可能停止捐赠、毕业、离开项目或退出活动。原始机构可能停止使用供应商。如果数据在多年后仍留在托管环境中,暴露的个人仍承担风险,而无任何当前服务利益。保留失败可以将供应商漏洞转化为对没有实际方式要求删除的人的长期伤害。

数据主权和本地性也在此处出现。Blackbaud 支持许多国家的客户,其 2023 年 10-K 表格描述了在美国、澳大利亚、加拿大、哥斯达黎加和英国的运营,用户遍布 100 多个国家。这个全球平台背景很重要。一个司法管辖区的客户可能对另一个司法管辖区的捐赠者或校友有义务。英国大学、加拿大慈善机构、美国医院基金会或澳大利亚非营利组织可能面临不同的隐私、通知和保留义务。供应商的托管架构和客户特定数据映射成为法律基础设施。

ICO 的勒索软件指南(https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/security/a-guide-to-data-security/ransomware-and-data-protection-compliance/)是有用的背景,因为它将勒索软件视为数据保护问题,而不仅仅是恶意软件事件。它未在本文中做出针对 Blackbaud 的调查结果。它展示了为什么个人数据泄露分析必须包括安全性、可用性、保密性、外泄、控制者和处理者义务以及证据。在多租户非营利平台中,这些义务是分布式的但未被稀释。

保留纪律也是客户责任。客户不应在关系系统中存储社会安全号码、银行详细信息、医疗记录、护照信息或敏感的自由文本附件,除非他们有明确的目的、加密姿态、访问策略、删除时间表和供应商保证。SEC 命令中对未加密附件和字段的讨论是一个警告:客户可以在采购可能不了解的系统中创建敏感数据口袋。供应商必须保护平台,但客户必须知道他们放了什么进去。

客户保证必须针对产品

Blackbaud 记录也显示了为什么通用供应商保证对于选民管理平台过于薄弱。非营利客户可能使用一个产品用于捐赠者记录,另一个用于在线活动,另一个用于活动筹款,另一个用于分析或资助管理。每个产品可以存储不同的数据,应用不同的默认值,创建不同的导出,并支持不同的附件或自由文本实践。如果事件通知仅称“客户数据”被复制,客户仍需知道涉及哪个产品、哪些字段、哪些历史记录、哪些导出以及哪些集成。

针对产品的保证应从数据映射开始。客户应能看到哪些 Blackbaud 系统持有姓名、地址、捐赠历史、银行字段、身份号码、登录字段、参与笔记、附件、活动出席情况、关系链接和导入文件。他们应知道这些字段是否加密、可搜索、可导出、已备份或在合同终止后保留。他们还应知道客户管理员是否可能意外将敏感数据放入较弱的字段。在 Blackbaud 案例中,监管记录使字段和附件放置成为问责故事的一部分。这应成为采购经验教训。

同样的保证应涵盖集成。筹款系统很少独立运行。它们连接到支付处理商、电子邮件平台、分析工具、网络表单、活动系统、数据仓库、财务系统和身份提供商。供应商环境中的勒索软件事件可能不会直接危及每个集成,但客户仍需知道令牌、导出、webhooks、API 日志或导入文件是否在受影响资产中。一个狭窄的“数据库”答案可能错过筹款工作自动化的运营现实。

小型慈善机构需要以他们能使用的形式获得这些证据。大型大学可能有隐私法律顾问、采购人员和安全审查员。当地慈善机构可能只有一名运营经理、一名兼职筹款人和一名负责技术监督的董事会成员。如果供应商保证仅为企业律师编写,那么内部能力最弱的客户可能做出最弱的保留和通知决策。因此,为使命导向机构服务的云提供商应发布分层保证:通俗语言的事件摘要、客户特定数据类别报告、安全控制更新,以及适用于受监管或高风险客户的更深入材料。

客户保证还应将实时系统与备份和归档分开。选民通常假设,如果他们停止捐赠或要求慈善机构停止联系他们,他们的风险就会降低。如果旧导出、备份集、归档活动文件或前客户数据库仍然存在,这可能不成立。FTC 的保留关注使这一点具体化。一个可辩护的保证包应解释删除时间表和备份保留,使客户能将其转化为自己的隐私通知。

最后,针对产品的保证应是持续的。它不应仅在事件后开始。客户应在实施时、重大活动后、导入遗留记录时、更改支付流程时、启用新模块时以及续约时审查数据类别。漏洞暴露历史决策。更好的治理减少可能暴露的历史。

这种持续审查应包括角色设计以及数据字段。筹款、校友关系、资助管理、财务、活动、志愿者管理和高管报告都可能需要不同的访问模式。如果广泛的管理员权限成为便利的默认设置,客户就在供应商环境中创造了更大的暴露面。如果供应商无法向客户展示特权角色存在于何处、最后使用时间以及它们可以访问哪些导出或附件,客户就无法管理其自身部分的风险。因此,Blackbaud 记录指向一个共享保证义务:提供商必须使产品控制足够可见以供使用,而客户必须将这些控制视为捐赠者和选民管理的一部分,而非后台设置。

持久的修复应证明什么

Blackbaud 事件后的持久修复应证明七件事。第一,应证明范围。提供商应知道哪些产品、客户、文件、字段、附件、数据类别和人群受到影响。文件名审查可能是起点,但影响银行信息或身份号码的范围声明需要内容级证据或记录为什么内容级审查不可行。

第二,应证明通知完整性。应有记录在案的路径,从取证事实到客户通知、补充通知、投资者披露、监管报告、呼叫中心脚本和董事会报告。如果技术团队得知通知错误,更正不应依赖于非正式升级。SEC 案例表明,披露控制本身就是安全结果。

第三,应证明保留控制。数据保留时间表应针对产品和客户特定,足够解释为什么持有数据、何时删除以及谁可以批准例外。前客户数据不应保留在生产环境或可访问的备份环境中,除非有可辩护的需求。如果保留为法律要求,应根据敏感性进行保护。

第四,应证明加密和字段治理。允许自由文本字段和附件的提供商必须知道敏感数据可能出现在受保护字段之外的位置。加密仅在客户无法意外将敏感数据放入未加密位置时才有帮助。产品设计、客户指导、扫描、警告和默认控制都是修复的一部分。

第五,应证明访问控制和隔离。FTC 指控监控、隔离、多因素身份验证、密码控制、防火墙控制和测试失败。持久的修复将显示最小权限、更强的身份验证、环境分离、特权访问监控、漏洞关闭、日志覆盖和经过测试的检测。

第六,应证明不依赖攻击者保证的勒索软件响应。如果声称复制数据已被销毁,公司应说明什么支持该声明以及什么不确定性仍然存在。如果无法验证删除,通知不应暗示验证。支付不消除通知义务。

第七,应证明客户治理。Blackbaud 客户应获得帮助其纠正自身实践的证据:敏感字段使用、附件风险、保留设置、加密选项、日志访问和推荐通知模板。如果客户可以在产品内重新创建相同的暴露模式,供应商修复就不完整。

问责跟随对证据的控制

最终的分配遵循实际控制。Blackbaud 控制了托管环境、安全程序、事件响应、取证供应商、首次客户通知、攻击者通信证据、数据保留架构、产品保障措施、披露控制和监管合作。客户控制了其收集和字段使用选择、本地通知、选民关系以及事件后治理。监管机构控制了执法。受影响人员仅控制了一小部分保护性行动,在他们收到足够信息后。

这种分配不需要无根据的指控。它不是说每条暴露记录都被滥用。它不是说每个客户都糟糕地处理了数据。它不是说每个后续保障措施都失败了。它说的是掌握证据门的一方负有最高责任,以快速移动准确事实。SEC、FTC、州、客户和公开记录都指向那个门。

Blackbaud 案例仍然重要,因为它显示了非营利云集中的隐藏成本。使命导向的机构可以将运营数据汇集在专业供应商内部并获得效率。但当供应商被入侵时,捐赠者、校友、患者、学生和支持者成为一个分布式伤害群体。他们不仅是慈善机构的客户。他们是可能不知道存在的供应商系统中的数据主体。

持久的教训简单而困难:社会部门的云提供商必须能够证明它持有什么、什么被复制、什么被加密、什么被不必要保留、客户被告知了什么、当新事实出现时发生了什么变化,以及什么保障措施防止再次发生。没有这种证明,慈善数据通知就变成了借来的信任的练习。有了这种证明,客户可以将供应商事件转化为精确、及时、负责任的沟通,而不是泛泛的安慰。